《敏捷應用程式安全》是2018年中國電力出版社出版的圖書,作者是[美]勞拉貝爾、[美]麥可布來頓-斯帕爾。
基本介紹
- 中文名:敏捷應用程式安全
- 作者:[美]勞拉貝爾、[美]麥可布來頓-斯帕爾
- 出版時間:2018年12月1日
- 出版社:中國電力出版社
- ISBN:9787519826390
內容簡介,圖書目錄,作者簡介,
內容簡介
你將在本書中學習到:
在軟體開發生命周期的每一階段中加入安全措施。
在計畫、需求、設計和編碼階段集成安全。
在每個發布版本中加入安全測試,並將它作為團隊發布工作中的一部分。
在敏捷開發或 DevOps 環境中實現合規。
通過共鳴、開放、透明、協作構建高效安全的程式。
圖書目錄
前言 1
第1章 安全概述 9
不僅僅是技術問題 10
不僅僅是極客 11
安全和風險有關 12
威脅因素,以及了解你的敵人 15
安全價值:保護我們的數據、系統和人員 17
常見的安全誤區和錯誤 19
讓我們開始 21
第2章 敏捷促進者 22
構建管道 22
自動化測試 23
持續集成 26
基礎設施即代碼 26
發布管理 28
可視化追蹤 29
集中反饋 30
部署過的代碼才是唯一優秀的代碼 31
安全、高速運行 31
第3章 迎接敏捷革命的到來 33
敏捷:一座美麗的盆景 33
Scrum,最時髦的敏捷技術 36
極限編程 39
看板 42
精益開發 45
常見敏捷方法 46
什麼是 DevOps? 48
敏捷和安全 49
第4章 在現有的敏捷生命周期中工作 51
傳統套用的安全模型 51
疊代前儀式 54
疊代前參與 56
疊代後參與 57
設定安全基線 58
那么當你擴大規模的時候呢? 59
建立安全團隊 59
關鍵點 61
第5章 安全和需求 63
在需求中處理安全 63
敏捷需求:講述故事 64
跟蹤和管理故事:backlog 66
處理bug 67
將安全性放入需求 67
安全形色和反角色 74
攻擊者故事:戴上黑帽子 76
攻擊樹 79
基礎架構和運維需求 82
重點回顧 85
第6章 敏捷漏洞管理 87
漏洞掃描及修復 87
處理關鍵漏洞 93
確保軟體供應鏈安全 94
如何以敏捷方式修復漏洞 96
安全Sprints、強化Sprints和黑客日 100
技術安全債務的承擔和償還 101
關鍵點 103
第7章 敏捷團隊的風險 104
安全團隊說不 104
理解風險和風險管理 105
風險和威脅 106
風險處置 107
敏捷和DevOps中的風險管理 112
在敏捷和DevOps中處理安全風險 117
重點回顧 119
第8章 理解攻擊和評估風險 120
理解攻擊:妄想和現實 121
系統的攻擊面 129
敏捷威脅建模 132
常見攻擊方式 142
要點總結 143
第9章 構建安全和可用的系統 145
反入侵設計 145
安全性與可用性 146
技術控制 146
安全架構 149
複雜性和安全性 152
重點回顧 154
第10章 代碼評審安全 155
為什麼需要進行代碼評審? 155
代碼評審的類型 156
結對代碼評審 158
你應該何時評審代碼? 160
怎樣評審代碼? 161
誰需要評審代碼? 167
自動代碼評審 169
代碼評審的挑戰和局限性 178
採用安全代碼評審 181
查看安全功能和控制項 186
評審代碼的內部威脅 187
關鍵要點 188
第11章 敏捷安全測試 191
那么敏捷開發中如何進行測試? 191
有bug 的地方,就會被攻破 192
敏捷測試金字塔 194
單元測試和TDD 196
服務級別的測試和BDD工具 199
驗收測試 201
功能安全測試和掃描 202
應用程式掃描的問題 206
測試基礎設施 208
創建自動化的構建和測試管道 212
敏捷開發中的手動測試 218
如何在敏捷和DevOps中進行安全測試? 220
重點回顧 221
第12章 外部審計,測試和建議 223
為什麼我們需要外部審計? 224
缺陷評估 226
滲透測試 227
紅隊 229
BUG獎勵 231
配置審查 238
安全代碼審計 238
加密審計 239
選擇一個外部的公司 240
使你的錢花的值得 242
關鍵點 246
第13章 運維和OpSec 247
系統加固:建立安全系統 248
網路即代碼 256
監控與入侵檢測 257
在運行時捕捉錯誤 262
運行時防禦 264
事件反應:為破壞而準備 266
保護你的構建管道 270
噓……請保密 277
重點回顧 279
第14章 合規性 281
合規性和安全性 281
風險管理和合規 288
變更的可追溯性 289
數據隱私 290
如何滿足合規性並保持敏捷 292
證明和認證 303
關鍵點 304
第15章 安全文化 306
安全文化的意義 306
搭建安全文化 307
有效安全原則 309
安全外展 320
重點回顧 327
第16章 敏捷安全意味著什麼? 328
Laura的故事 328
Jim的故事 331
Michael的故事 335
Rich的故事 339
作者簡介
Laura Bell是SafeStack的創始人和首席顧問,SafeStack是一家安全培訓、開發和諮詢公司。
Michael Brunton-Spall是公共數字服務部的技術及運營副主任,公共數字服務部是政府內閣辦公室的一個部門。
Rich Smith是Duo 的研發總監,負責組織Duo security的高安全研究會議。
Jim Bird是一位在金融服務技術方面擁有超過20年經驗的CTO、軟體開發經理和項目經理。
